パスワードを忘れた? アカウント作成
11123050 story
広告

広告ネットワーク経由でniconicoにマルウェアへのリンクが表示される 61

ストーリー by hylom
誘導先のドメインを確認しましょう 部門より

ニコニコ動画などのniconicoサービス内に、FlashPlayerの更新を促す通知に見せかけたアラートが表示され、マルウェアのダウンロードサイトに誘導するという事件が発生していた模様(ニコニコインフォ)。

原因はマイクロアド社の提供する広告ネットワークで配信された広告に悪意のあるスクリプトが含まれていたためだという(マイクロアドの発表)。

広告ネットワーク経由でのマルウェア配布は以前からたびたび発生しており、以前スラッシュドットでもマイクロアド社の提供する広告サーバー経由で不明なサイトへの誘導が行われる事件が発生していた(過去記事)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年06月21日 8時54分 (#2625142)

    http://peercast.net/archives/2014_niconico_flash_player_fishing.html [peercast.net]
    どこに接続しようとしているのか、他のサイトでも発生しているのか、アンチウイルスソフトの対応状況などが書いてあります。

  • by Anonymous Coward on 2014年06月21日 11時31分 (#2625206)

    この会社には学習という概念がないんですかね...

    マイクロアドの広告サーバに攻撃、毎日jpやImpress Watchなど100サイト閲覧者にマルウェア感染の疑い
    http://www.itmedia.co.jp/news/articles/1009/27/news029.html [itmedia.co.jp]

    • by Anonymous Coward on 2014年06月21日 11時57分 (#2625223)

      その事件以来、hostsでブロックしてます。
      (昨日からunboundのlocal-zoneでやってみてる)

      #adblockは重いから嫌い。

      親コメント
      • by Anonymous Coward

        hostsで当該fqdnに対し、ダミーのIPアドレスを返すようにしてるの? 
        どうやってるのか興味があります。

        • by Anonymous Coward on 2014年06月21日 13時23分 (#2625292)

          hostsには

          0.0.0.0 adf.send.microad.jp
          0.0.0.0 cache.microad.jp
          0.0.0.0 ld.send.microad.jp
          0.0.0.0 vsc.send.microad.jp

          と書いていた。目についたやつをとりあえず登録してただけだから、これで全部弾けてたかどうかは分からない。
          127.0.0.1じゃないのは特に意味はないです。

          unboundでは

          local-zone: "microad.jp." redirect
          local-data: "microad.jp 10800 IN A 0.0.0.0"
          local-zone: "microad.co.jp." redirect
          local-data: "microad.co.jp 10800 IN A 0.0.0.0"

          って書いてる。.co.jpのほうはとりあえず入れてみた。どうせ見に行かないし。
          これでサブドメインにも0.0.0.0が返ってきてると思う。一応digで確認はしたけど。

          親コメント
          • by Anonymous Coward

            > 127.0.0.1じゃないのは特に意味はないです。

            むしろここで127.0.0.1にする意味がわからない。あなたがローカルにサーバを立てていたら、あなたが信用していないマイクロアド社は(未登録のサブドメインから)あなたのローカサーバーへアクセスし放題になるってことだよ。0.0.0.0のようにアクセスできないIPアドレスが正解。

            • by Anonymous Coward

              え、ならないだろ?

              • by Anonymous Coward

                なるよ。Same origin policyはドメイン名が基準であって、そのドメイン名がどのようなIPアドレスに解決されるかは一切関係ないから。だからDNS rebindingのような攻撃も成り立つ。これは自らDNS rebinding攻撃を受けたときと同じ状態を24時間作り出しているようなもの。

              • by Anonymous Coward

                local-zone: "microad.jp." redirect

                local-zone: "microad.jp." static
                の方がいいってこと?
                で、local-dataは記述せず、何も返さない?

              • 「Same-Origin Policy」でいう「Origin」は、サブドメインの違いを見ます。
                即ち、a.example.com と b.example.com は、異なるOriginであり、Same-Origin Policyの下では、互いにアクセスできません。

                b.example.com が閲覧者によって 127.0.0.1 に振り向けられているとして、これは a.example.com から見て、127.0.0.1 にIPアドレス指定でアクセスしようとするのと変わらないということですね。

                もっというと、サブドメインが違ってもアクセスでき、ドメイン管理者に悪意があるという前提なら、閲覧者が 127.0.0.1 に振り向けるのを待つまでもなく、管理者がc.example.com を用意し、これを 127.0.0.1 に振り向ければ済んでしまいます。
                現状はこれができないから、DNS rebindingとして、ホスト名(FQDN)は同じままでIPアドレスだけ時限的に変える手法が用いられているわけでしょう。

                参考
                RFC 6454 - The Web Origin Concept [ietf.org]
                The Web Origin Concept [ipa.go.jp](IPAによる日本語訳)

                親コメント
              • by Anonymous Coward

                staticだけ記述してDNS応答をNXDOMAINにしておいたほうが余計な通信を始めない

            • by Anonymous Coward

              ひょっとして127.0.0.1を知らないの?

              • by Anonymous Coward

                ブラウザ内部からローカルサーバへアクセスが可能ってことじゃない?

                それ自体は当たり前のことだけど、localhostや127.0.0.1以外の、
                127.0.0.1へ振り替えるように設定されている名前でアクセスできることになる。
                ユーザ自身の手で、あるいは何かしらの手段で設定されていることが前提だけど。

                ソースを読む限りは外部アクセスに見えても、実際はローカルサーバへって。

                #0.0.0.0でも127.0.0.1と同じようにapacheにアクセスできた…

      • by Anonymous Coward

        それadsuckでいいですよね
        https://opensource.conformal.com/wiki/Adsuck [conformal.com]

  • by Anonymous Coward on 2014年06月21日 7時44分 (#2625111)

    いつかこんなことがあるかと思っていました
    やはり広告は切っておくべきですね

    • by Anonymous Coward on 2014年06月21日 10時10分 (#2625177)

      adblockはやっぱり必要だと思うわけですよ。
      anti-adblockを採用しているWebサイト管理者は
      自分のWebサイトがマルウェアの配信元になるかもしれない
      という危機感を持って貰えると嬉しいなぁと思うわけです。

      親コメント
      • by Anonymous Coward

        ありがとうIE版のAdblock Plusいれたわ。
        http://gigazine.net/news/20130621-adblock-plus-ie/ [gigazine.net]

      • by Anonymous Coward

        マイクロアドがアドブロックに金払ってホワイトリスト入りになるのですねw

    • by Anonymous Coward

      ですね。ヘマをやらかした業者は退場してもらうくらいの自浄作用が業界にないと信用できません。

      • by Anonymous Coward
        ヘマしたら退場でけだと自浄作用にはならないような気がする。 せめて改善を要求して満たせなければ退場くらいかな
        • by Anonymous Coward

          すでにやらかしてるけど何も学習していないマイクロアドはやっぱり退場でいいね。

  • by Anonymous Coward on 2014年06月22日 14時52分 (#2625816)

    つまり仕掛けたのはヤス

  • by Anonymous Coward on 2014年06月22日 21時49分 (#2625984)

    いつのまにか、色々踏んでいることを実感させられるプロモーション。
    Haruhi Hunting [haruhi.com]

    現在169/707だけどAC

typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...